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Bogotá, D.C., 


Doctora 

CAROLINA BOTERO 

Directora 

Fundación Karisma 
carobotero(a)karisma.org.co 
Bogotá, D. C. 


Asunto: Respuesta análisis de las herramientas digitales para el seguimiento del 
COVID-19 de la Alcaldía de Bogotá. 


Estimada Carolina, 


Recibimos el informe elaborado por la organización que lidera referente al “Análisis de las 
herramientas digitales para el seguimiento del COVID-19 de la Alcaldía de Bogotá”; frente al cual 
destacamos y agradecemos el trabajo desarrollado y en consecuencia atenderemos cada uno de 
los interrogantes formulados en dicho informe, previa la siguiente aclaración: 

Resulta necesario precisar que los desarrollos de la plataforma web “Bogotá Cuidadora” y la 
aplicación móvil Gobierno Abierto de Bogotá- GABO surgen como respuesta a la emergencia 
sanitaria ocasionada por el COVID -19, y con el propósito de servir de canal oficial para atender 
con agilidad y eficiencia las necesidades de los ciudadanos, brindar información oportuna a la 
ciudadanía sobre la evolución de las medidas tomadas por el Distrito, monitorear el impacto de 
la propagación del COVID-19 en Bogotá, fortalecer el acompañamiento a las comunidades 
vulnerables de la ciudad y contribuir a la reactivación económica gradual y a la movilidad segura 
en todo el territorio de la ciudad. 

En este sentido, ambas soluciones han sido diseñadas y desarrolladas directamente por el 
recurso humano de la Secretaría General y en particular con la participación de la Alta Consejería 
Distrital de TIC, la Oficina TIC y la Subsecretaría de Servicio al Ciudadano; por tanto, cabe 
destacar que dichos desarrollos están alineados con la Política de Gobierno Digital y con los 
propósitos de la estrategia de Gobierno Abierto de Bogotá; así mismo éstas, se encuentran 
soportadas en la infraestructura de TI contratada por la Secretaría General y están diseñadas 
para crecer de manera permanente y en cada iteración mejorar en funcionalidades y experiencia 
de usuario. 
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Bajo ese criterio, procedemos a pronunciarnos frente a los puntos planteados en su informe, en 
los siguientes términos: 

Análisis de formularios - Bogotá Salud Capital. 


1. “Las páginas usan el protocolo inseguro HTTP, lo que no permite validar la 
identidad del dominio, transmite los datos en una forma insegura y genera una 
alerta de seguridad en el navegador [ver Anexo 2]. Para el caso particular del 
formulario de resultados, aunque la página del formulario tiene una URL de tipo 
HTTP, lo que no permite al usuario tener confianza en la página, los datos del 
formulario se envían con el protocolo HTTPS y existe por lo tanto un certificado SSL 
[Ver línea siguiente y Anexo 4].” 

Uso de HTTP en lugar de HTTPS. En atención a la observación, actualmente tanto el formulario 
de reporte del estado de Salud, como todos los formularios de la plataforma web Bogotá 
Cuidadora, tienen implementado el protocolo HTTPS. 



Aclaramos que es propósito de esta administración es realizar las gestiones correspondientes 
para garantizar que todos los sitios web del Distrito, que aún no los tengan, implementen 
protocolos seguros. Asimismo, durante el cuatrienio se fortalecerá el trabajo en la implementación 
de controles de seguridad por diseño y por defecto y en la implementación de controles de gestión 
de riesgos de seguridad. 

2. “(...) Ambos servicios [servicio de analítica de datos de Google (Google Analytics, 
cookies _ga y _gid) y servicio externo de notificaciones TruePush (cookies tp y 
sesionid)] tienen un impacto negativo en la privacidad de las personas usuarias ya 
que las visitas e interacciones en estas páginas se transmiten a estas empresas que 
las pueden usar con fines publicitarios, directamente en el caso de Google e 
indirectamente en el caso de True PushS, que puede compartir los datos con aliados 
publicitarios” 

Rastreadores y cookies de terceros. Aclaramos que las notificaciones se implementaron con 
el único propósito de recomendar a los ciudadanos lavarse las manos cada 3 horas, buscando 
generar recordación e implementación de las medidas de autocuidado. Este tipo de notificaciones 
son mecanismos usados comúnmente por soluciones digitales como herramienta de 
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comunicación y recordación con los usuarios, y también fueron utilizadas por las aplicaciones 
comerciales para sumarse a las campañas de prevención de contagio. No obstante, se revisará 
el script de truepush de acuerdo con las recomendaciones y se harán los ajustes pertinentes. 

3. “La versión del servidor Apache no es reciente (diciembre 201511). Se han 
documentado ya varias potenciales vulnerabilidades en esta versión12.” 

Actualización de servidores de aplicaciones a versiones más recientes. Conforme a su 
observación, se dispuso una ventana de mantenimiento para realizar la actualización pertinente 
y reducir el riesgo de vulnerabilidad en los servidores de las aplicaciones. 

4. “El servidor divulga errores del nivel aplicativo (PHP). En ciertos casos lo hace de 
manera aparente para el usuario y en otros en sus respuestas.” 

El servidor divulga errores del nivel aplicativo (PHP). Como parte de los procesos regulares 
de mantenimiento se está actualizando y mejorando permanentemente el código de las 
aplicaciones para brindar un mejor servicio y mitigar vulnerabilidades. 

Consideraciones frente a Bogotá Cuidadora - GABO APP 

1. Datos personales recolectados e información. “(...) El sitio web y GABO App 
cuentan con una política de privacidad de 11 páginas que no se analiza en esta 
evaluación puesto que ya se anunciaron revisiones de las autoridades 
correspondientes”. 

Respecto de la finalidad del tratamiento de los datos personales que se están recolectando 
aclaramos que tanto la plataforma web Bogotá Cuidadora, como la aplicación Gobierno Abierto 
Bogotá- GABO- se publicaron con las siguientes funcionalidades: 

• Necesito apoyo: permite a los ciudadanos para las ayudas que tiene el Distrito para 
atender la emergencia sanitaria generada por el COVID-19 (transferencias monetarias, 
bonos canjeables, alimentación escolar, etc.). Estas solicitudes son validadas y si se 
cumplen los requisitos estipuladas se brinda acceso a las mismas. 

• Reportar estado de salud. Permite a los ciudadanos reportar su estado de salud. Así 
podemos hacer un mejor seguimiento de la enfermedad en Bogotá. A los ciudadanos les 
sirve para recibir atención más rápida en caso de síntomas agudos. La plataforma arroja 
información sobre los puntos de atención de salud más cercanos. 

• COVID-19 a mi alrededor: accede a los mapas y a los datos proporcionados por Saludata 
con el fin del que el ciudadano pueda saber cuántos contagiados hay por localidad y por 
edad, así como el porcentaje de ocupación de las Unidades de Cuidado Intensivo en 
Bogotá. Hay un mapa de calor que le ayuda a determinar cuáles son las zonas de la 
ciudad con mayor número de contagios confirmados. 

• Ofrezco ayuda: accede a la Red de Cuidado Ciudadano y permite que los ciudadanos 
que quieran entregar apoyo lo hagan a través de este mecanismo. 
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• SuperCADE Virtual: {Solo disponible en Gabo APP) para facilitar a las personas 
permanecer en casa, GABO APP incluye la APP Super CADE Virtual, que ha estado al 
servicio de los ciudadanos desde hace dos años y en donde se pueden hacer varios 
trámites desde el teléfono. 

• Registro de Movilidad Segura: con el fin de dar cumplimiento a la obligación de 
identificación o acreditación de que trata el parágrafo 1 - del artículo 3 del Decreto Nacional 
749 de 2020, y con el objetivo de recolectar información estratégica para la toma de 
decisiones en movilidad y optimizar las formas de transporte bioseguras en Bogotá. 

En ese orden de cosas, los datos recolectados están siendo tratados únicamente para atender 
con agilidad y eficiencia las necesidades de los ciudadanos, brindar información oportuna a la 
ciudadanía sobre la evolución de las medidas tomadas por el Distrito, monitorear el impacto de 
la propagación del COVID-19 en Bogotá, fortalecer el acompañamiento a las comunidades 
vulnerables de la ciudad y contribuir a la reactivación económica gradual y a la movilidad segura 
del Distrito. 

De otra parte, con el ánimo de aclarar las razones por las cuales la aplicación móvil Gobierno 
Abierto Bogotá - GABO puede llegar a solicitar acceso a la cámara, al almacenamiento del 
equipo, o a la ubicación del terminal, nos permitimos describir las funcionalidades que requieren 
dichos permisos: 

• Acceso a la Cámara y al Almacenamiento del Equipo: Se utiliza únicamente para 
SuperCADE Virtual, solo este componente de GABO APP requiere estos permisos. 

La aplicación solicitará permiso para acceder a la cámara y/o al almacenamiento del 
equipo, cuando dicha actividad se requiera para realizar un trámite o acceder a un servicio 
dentro de las funcionalidades de SuperCADE Virtual, estos permisos estarán 
desactivados por defecto y únicamente se activarán cuando el usuario desee adjuntar 
imágenes o archivos desde el equipo o directamente de la cámara, las demás 
funcionalidades de GABOapp no requieren de estos permisos para funcionar. 

• Ubicación: Es opcional para el ciudadano en toda la aplicación GABO, su uso permite a 
la Administración Distrital, brindar atención e información eficaz y oportuna a los usuarios 
de la APP. Esta funcionalidad requiere de la autorización del usuario, quien podrá 
revocarla en cualquier momento. 

Por su parte aclaramos que la plataforma web “Bogotá Cuidadora” disponible en: 
www.bogota.gov.co/bogota-cuidadora no solicita ni hace uso de permisos específicos. Los 
ciudadanos diligencian de manera voluntaria los formularios allí disponibles. 

En ese contexto reiteramos que los datos recolectados son tratados únicamente para las 
funcionalidades descritas (tramitar solicitudes de apoyo, contactar a personas que reportan 
síntomas, realizar análisis agregados de movilidad, divulgar información de interés de los 
ciudadanos en la pandemia) , por lo tanto, es importante destacar que una vez se supere esta 
coyuntura, y los efectos que han llevado a desplegar estas acciones, los mismos serán eliminados 
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de forma segura, proceso que se hará siguiendo lo establecido en el procedimiento interno de 
borrado seguro, el cual se ha definido conforme a las directrices de gestión documental y de 
conformidad con lo establecido en la Ley de Protección de Datos, así como en nuestra Política 
de Privacidad y Tratamiento de Datos Personales y nuestro Manual de Políticas y Procedimientos 
para el Tratamiento de Datos Personales, garantizando de manera eficiente la eliminación o 
destrucción de información, basados en métodos que permitan el borrado seguro de la 
información almacenada en las bases de datos, evitando el acceso a la información contenida en 
las mismas o su recuperación posterior. 

Consideración uso de formularios forms. 


1. “el uso de Microsoft Forms tiene como consecuencia la instalación de varias 
cookies de rastreo con duración de vida superior a un año, asociadas a los 
dominios “office.com”, “microsoft.com” y “bing.com”” 

Al respecto, nos permitimos informar que en una primera iteración la plataforma web “Bogotá 
Cuidadora” se lanzó haciendo uso de la solución Microsoft Forms que hace parte del 
licénciamiento de las cuentas de Office 365 E3 que utilizan los usuarios de la Secretaría General 
de la Alcaldía Mayor de Bogotá, D. C., y que no implica en ningún momento el tratamiento de 
datos personales por parte de Microsoft. 

En ese sentido la infraestructura que la Secretaría General de la Alcaldía Mayor de Bogotá, D. 
C., ha dispuesto para la recolección y almacenamiento de los datos se encuentra soportada en 
los servicios que tiene contratados la entidad de conformidad con lo establecido en el 
Acuerdo Marco de Servicios de Nube Pública No. CCE-578-2017, y atendiendo a lo definido en 
el lineamiento LI.ST.04 de Acceso a servicios de la Nube, del Marco de Referencia de 
Arquitectura de la Política de Gobierno Digital. 

Conforme a lo anterior el proveedor de servicios tecnológicos se ocupa de toda la infraestructura 
y software base para la operación de los formularios; garantizando la disponibilidad de la 
plataforma en un 99.7%, sin que este servicio involucre alguna gestión sobre 
los datos recolectados, y atendiendo a lo establecido en la cláusula 15 del referido Acuerdo 
Marco de precio No. CCE-578-2017, el proveedor como encargado del tratamiento de la 
Secretaría General da cumplimiento a la normativa colombiana en materia de seguridad, 
privacidad de la información y protección de datos personales. Aclarándose que Microsoft no le 
suministra a ningún organismo de gobierno la capacidad técnica de acceder directamente a los 
contenidos de sus usuarios ni proporciona “puertas traseras” a sus sistemas de información a 
ningún tercero o autoridad. 

Por su parte, la aplicación móvil Gobierno Abierto de Bogotá (GABO) realiza su comunicación 
encriptada mediante https, el componente que recibe el tráfico entrante de la aplicación móvil es 
un servidor WAF de AZURE del TENANT productivo de los servicios en la nube contratados por 
la Secretaría General, este componente ofrece la configuración de llaves públicas y privadas para 
encriptar información. 

En una segunda iteración el desarrollo de los formularios “Necesito Ayuda” y “Registro de 
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Movilidad” de la plataforma web “Bogotá Cuidadora” se trasladaron a un desarrollo en PHP 
desarrollado por el equipo de la Secretaría General. Esto en razón a que un desarrollo PHP 
permite validación en los campos de captura, ofreciendo mayor calidad en la información 
recopilada. 

En ambos casos los formularios hacen uso de HTTPS (HyperText Transfer Protocol Secure), 
protocolo que protege la integridad y la confidencialidad de los datos entre el ordenador en el que 
los diligencian y el sitio web que los recibe. 

Notificación de exposición por medio de publicidad en Facebook y Google 

1. “El uso que se hace en Bogotá de publicidad en línea para simular procesos de 
rastreo digital de proximidad brinda una apariencia de uso de una medida de salud 
pública Internacional que es obligatoria y que en esta práctica resulta simulada. 
Consideramos que esta práctica supone múltiples preocupaciones que están en 
proceso de análisis por Karisma. Mientras tanto, en este documento resaltamos las 
preocupaciones que se derivan de la simulación tecnológica que el distrito hace sin 
pudor, para generar una reflexión”. 

Respecto a la observación anterior, resulta necesario aclarar que en Bogotá no se están 
simulando procesos de rastreo digital de proximidad, pues lo que se hizo en su momento fue un 
ejercicio de analítica de datos, a partir del uso de datos anonimizados y agregados que permitió 
medir la concentración de personas que hayan estado en contacto con positivos por COVID 19, 
quince días antes de que presentaran síntomas. 

Puesto que este ejercicio se realizó utilizando datos anonimizados, no es posible para las 
autoridades conocer o saber quiénes pudieron haber estado en contacto con los casos positivos; 
esta información solo la tienen los operadores con los que se trabajó el ejercicio, en 
consecuencia, lo que se utilizan son datos asociados a la georreferenciación para que estos a 
través de sus plataformas generen alertas sobre posibles riesgos, e inviten a las personas a 
registrarse en cuidemonos.gov.co 

De ese ejercicio se tuvo como resultado que el 22% de las personas que se inscribieron en 
www.cuidemonos.gov.co como consecuencia del envío de los mensajes, presentaron síntomas, 
por lo que han sido atendidos por las autoridades de salud y han sido objeto de seguimiento a 
través de la ruta de vigilancia epidemiológica. 

Cordialmente; 


FELIPE GUZMÁN RAMÍREZ 

Alto Consejero Distrital de Tecnologías de Información y Comunicaciones - TIC 
c.c.e.: Pilar Saenz, mpsaenz@karisma.org.co 
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